⒋性⒏改 - 2006-4-8 18:48:00
每次一连接网络......灰鸽子自行启动到进程当中.....只能用卡卡手动结束.........重起后再次出现......重装系统后仍然出现......下载木马杀客杀除后再次出现......瑞星扫描杀毒后依然金枪不倒.......跪求解法.......
⒋性⒏改 - 2006-4-8 18:52:00
现在把我用过的所有杀法都贴出来......我的流血经历......
第一种杀法:
转自百度知道:
你可以试试用下面的办法来解决(这个软件试验下来对查杀灰鸽子还是比较有效的。还能提高自己的动手能力):
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址:
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法:
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件的实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
实验证明....以上内容无效.....
⒋性⒏改 - 2006-4-8 18:53:00
第二种杀法:
灰鸽子后门专杀工具 1.1.1:
http://www.onlinedown.net/soft/43101.htm
以上两款软件记得要在安全模式下杀会比较保险些~~
实验证明.....以上内容仍然无效....
⒋性⒏改 - 2006-4-8 18:54:00
第三种杀法:
试下用江明DOS下杀毒:
http://www.gz235.com/Soft/12/2006/Soft_8397.htm
实验证明.....仍然无效....
⒋性⒏改 - 2006-4-8 19:01:00
第五种杀法:
通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
无效....
闪电风暴 - 2006-4-8 19:33:00
那个防火墙截图只是说明可能有灰鸽子利用1027端口,并不代表真有鸽子。请用
http://forum.ikaka.com/topic.asp?board=28&artid=6979213 一楼的工具HijackThis扫描日志上来.
闪电风暴 - 2006-4-8 19:36:00
【回复“⒋性⒏改”的帖子】
关于IceSword,你并不会使用它,因此你认为它没有用。
其实它是杀毒中必不可少的进程管理工具……
第二至四的方法其实是没有多少效果的,如同鸡肋
闪电风暴 - 2006-4-8 19:39:00
| 引用: |
【⒋性⒏改的贴子】第五种杀法:
通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
无效....
........................... |
在灰鸽子的服务项没有删除时(即灰鸽子正在运行时),用WINDOWS的搜索工具根本无法搜索到这些文件(被鸽子搞的)。这个着术只能在初步清除灰鸽子服务时用
⒋性⒏改 - 2006-4-8 22:03:00
Logfile of Kaka v2. 0. 0. 8 Scan Module v2. 0. 0. 1
Scan saved at 23:37:33, on 2006-04-08
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))
Running processes:
[smss.exe]
CommandLine =
[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
[winlogon.exe]
CommandLine = winlogon.exe
[SERVICES.EXE]
CommandLine = C:\WINDOWS\system32\services.exe
[LSASS.EXE]
CommandLine = C:\WINDOWS\system32\lsass.exe
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss
[CCenter.exe]
CommandLine = "D:\rar\Rav\CCenter.exe"
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService
[RavMonD.exe]
CommandLine = "D:\rar\Rav\Ravmond.exe"
[rfwsrv.exe]
CommandLine = d:\rising\rfw\rfwsrv.exe
[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe
[RavStub.exe]
CommandLine = D:\rar\Rav\RavStub.exe /RAVMOND
[EXPLORER.EXE]
CommandLine = C:\WINDOWS\Explorer.EXE
[RfwMain.exe]
CommandLine = -StartUp
[RavTask.exe]
CommandLine = "D:\RAR\RAV\RAVTASK.EXE" -SYSTEM
[RavMon.exe]
CommandLine = "D:\rar\Rav\Ravmon.exe" -SYSTEM
[SMTray.exe]
CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMTray.exe"
[ctfmon.exe]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"
[SMAgent.exe]
CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe"
[wdfmgr.exe]
CommandLine = C:\WINDOWS\system32\wdfmgr.exe
[wuauclt.exe]
CommandLine = "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[350]SUSDSb0204e947a64ad4f9a81230330a12bbf
[VnetClient.exe]
CommandLine = "D:\ChinaNet\VnetClient.exe"
[iexplore.exe]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"
⒋性⒏改 - 2006-4-8 22:14:00
大哥....就你顶我帖子....真谢谢了啊.....
只要别让我再在防火墙的系统状态里再看到灰鸽子三个字就好了。.. 我要崩溃了。....
每天开起电脑就首先要用卡卡助手结束那个进程后才能开始上网...累得半死....
⒋性⒏改 - 2006-4-8 22:20:00
报毒情况是这样的。....
前10次用瑞星查的时候还会报毒的。.....
现在不知道是瑞星疲软了还是病毒变种了.....
已经不报毒了....
轩辕小聪 - 2006-4-8 22:30:00
瑞星报毒时的病毒文件名称与具体路径?
日志中并没有发现灰鸽子。
⒋性⒏改 - 2006-4-8 23:50:00
我又结束掉几个系统服务...现在灰鸽子那个括号是没了...可是那个进程好象还是在那里...仍需要手动结束....
附件:
677896200648235031.BMP
⒋性⒏改 - 2006-4-8 23:51:00
Logfile of Kaka v2. 0. 0. 8 Scan Module v2. 0. 0. 1
Scan saved at 23:37:33, on 2006-04-08
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))
Running processes:
[smss.exe]
CommandLine =
[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
[winlogon.exe]
CommandLine = winlogon.exe
[SERVICES.EXE]
CommandLine = C:\WINDOWS\system32\services.exe
[LSASS.EXE]
CommandLine = C:\WINDOWS\system32\lsass.exe
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss
[CCenter.exe]
CommandLine = "D:\rar\Rav\CCenter.exe"
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs
[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService
[RavMonD.exe]
CommandLine = "D:\rar\Rav\Ravmond.exe"
[rfwsrv.exe]
CommandLine = d:\rising\rfw\rfwsrv.exe
[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe
[RavStub.exe]
CommandLine = D:\rar\Rav\RavStub.exe /RAVMOND
[EXPLORER.EXE]
CommandLine = C:\WINDOWS\Explorer.EXE
[RfwMain.exe]
CommandLine = -StartUp
[RavTask.exe]
CommandLine = "D:\RAR\RAV\RAVTASK.EXE" -SYSTEM
[RavMon.exe]
CommandLine = "D:\rar\Rav\Ravmon.exe" -SYSTEM
[SMTray.exe]
CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMTray.exe"
[ctfmon.exe]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"
[SMAgent.exe]
CommandLine = "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe"
[wdfmgr.exe]
CommandLine = C:\WINDOWS\system32\wdfmgr.exe
[wuauclt.exe]
CommandLine = "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[350]SUSDSb0204e947a64ad4f9a81230330a12bbf
[VnetClient.exe]
CommandLine = "D:\ChinaNet\VnetClient.exe"
[iexplore.exe]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"
轩辕小聪 - 2006-4-9 0:18:00
该进程加载的全部模块的信息(楼上的图的下半部分)看看有什么可疑的模块。
⒋性⒏改 - 2006-4-9 0:51:00
```````````````````````````````````````````````````````````
论坛只让传1M的......郁闷...点击打开观看会清楚点.....
附件:
67789620064905110.BMP
轩辕小聪 - 2006-4-9 1:34:00
汗,真的看不出来有问题啊。还是7楼的那句话,那个防火墙截图只是说明可能有灰鸽子利用1027端口,并不代表真有鸽子。楼主真的那么肯定自己中毒了吗???
闪电风暴 - 2006-4-9 9:14:00
灰鸽子的病毒名是Backdoor.Gpigeon你看看是不是报这个??
⒋性⒏改 - 2006-4-9 9:32:00
没错。。。。是报你说的这个毒。。。。
不过我下载了N种软件查杀后已经不再报毒了。。。
中了毒后我又重装了系统。。。用了WINDOWS木马清道夫。。。
可是启动时还是有灰鸽子利用10**的端口,随着启动时间越长。。他占用的端口越多。。。。最多的时候有占用4~5个端口。。。
最奇怪的是没连接网络都没事。。。一连上网络那一项就自动跟随启动。。。
刚才在上班不能传日志。。。。下班就补上。。。。
⒋性⒏改 - 2006-4-9 15:39:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:47:43, 日期 2006-4-9
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\rar\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\rar\Rav\Ravmond.exe
d:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
D:\rar\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
D:\Rising\Rfw\rfwmain.exe
D:\rar\Rav\RavTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
D:\rar\Rav\Ravmon.exe
D:\ChinaNet\VnetClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\in\HijackThis1991汉化版\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - d:\chinanet\VNETTR~1.DLL
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - E:\KuGoo2\KuGoo3DownXControl.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "D:\rar\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - E:\KuGoo2\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - E:\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - E:\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82FE20B3-66E9-4D0F-9345-13061F28C06F}: NameServer = 218.85.157.99 202.101.110.55
O18 - 列举现有的协议: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\rar\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\rar\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
© 2000 - 2026 Rising Corp. Ltd.